testes de segurança orientados a valor

http://groups.google.com/group/gut-amKleitor Franklint

Testes de

Segurança

Orientados a valor

Para fazer parte do grupo de teste:

KLEITOR

Entusiasta da Vida, Qualidade,

Colaborativos,Ágil,

Teste e Testes Ágeis. kleitor.franklint@gmail.c

ombr.linkedin.com/in/kfranklint

92-99416-0873

3

AGENDA

Um olhar sobre testes de

segurança em aplicações...

Aplicados ao Ágil e

metodologias Mistas.

Com o desenho e análise de

resultados orientados a

User-centered...

4

Testes de Segurança Orientados a valor

Um pouco de contexto

6Mobile Application Security Study, 2013 reporthttp://www8.hp.com/h20195/V2/GetPDF.aspx/4AA5-1057ENW.pdf

Por que precisamos de aplicações seguras?Mobile apps

HP Research testou mais de 2,000 mobile apps em mais de 600 companhias.

97% Deram acesso a pelo menos uma fonte de informação privada.

86% Falharam no uso de simples proteções contra ataques modernos.

75% Não usam técnicas de encriptação adequada ao armazenar dados no dispositivo.

7

Por que precisamos de aplicações seguras?

1.9 million files over the past 12 monthsWeb Application Vulnerability Report 2015http://www.acunetix.com/acunetix-web-application-vulnerability-report-2015/

Web apps

A cada 5 apps, 4 foram afetadas por vulnerabilidades médias

>80%

> 49%Quase metade continha vulnerabilidades graves

Percepção das AmeaçasE sim, precisamos testá-las

Vale à pena Pentest?

E o Ágil com Pentest?

Média de vulnerabilidades se reduziu em

45% com feedback pro time

Pentest reduziu a média de vulnerabilidades em 65%.

Software perfeito e outras Software perfeito e outras ilusõesilusões

Uau!! Imagina usando Ágil

Website Security Statistics Report 2015https://info.whitehatsec.com/rs/whitehatsecurity/images/2015-Stats-Report.pdf

= Agile Security Testing= Security Agile Testing

Alguns conceitos

"Responsabilidade pelos Danos e Riscos Causados por Falhas de Segurança", Cassio Goldschmidt

Teste de segurança é

HACKING PENTEST AUDITORIA

Agregar valor ao produto sob a dimensão da...

E o objetivo é...?

segurança orientada a valor

12

User-CenteredFoco em usabilidade, user experience (UX), workflow (...)

User-centered security...Tem usabilidade como motivação primária (Zurko,1996)

http://www.computing.dcu.ie/~dfitzpat/content/what-user-centered-design

13

-Modelar e priorizar cenários de riscos orientados às necessidades do cliente

-Utilizar técnicas de teste que validem e enriqueçam esses cenários

-Análise de resultado orientado a user-centered.

-O objetivo é segurança utilizável

User-centered security testing.

14

Como?

Antes do TesteModelar e priorizar cenários de riscos orientados às necessidades do cliente

Durante o TesteUtilizar técnicas de teste que validem e enriqueçam esses cenários

Depois do TesteAnálise de resultado orientado a user-centered.

15

Um Road Map 1 Como modelar requisitos e cenários?

Testar o quê?

Testar como?

Quais requisitos e riscos?

Entregar o quê?

16

Quais requisitos e riscos?

UC Test Design

17

Quais requisitos e riscos?

- Workflow: abusos (vertical / horizontal), válidos e rotas alternativas

- Riscos toleráveis: críticos, incidentais- Funcionalidades críticas: segurança do produto,

importância pro cliente.- Presença do usuário: validação ( autenticação + token),

duração, No. de tentativas

UC Test Design

18

Quais requisitos e riscos?

-Localização: onde, quando, quem-Personas: confiança, padrões: local, horários, workflow, frequência de acesso, publico alvo.-Comportamento: horário, local, frequência, outros-Memorização: duração e renovação da session-Escopo de segurança: o que o usuário não quer proteger

UC Test Design

19

Como modelar requisitos e cenários?

20

Como modelar requisitos e cenários?

User Security

Stories

Abuse Stories

Evil User

Stories

21

Security Stories

Como modelar requisitos e cenários?

22

Como modelar requisitos e cenários?

Como um agente ( tester, dev, eng) de segurança quero garantir produto entregue só após pagamento válido.

Security Stories Story maps

23

Como modelar requisitos e cenários?

Se existirem... são base para: -Evil e Abuse Stories - Recomendações do report

Security Stories

Como um evil user quero adquirir um produto sem pagar.

24

Como modelar requisitos e cenários?

Evil User Stories

Explorar pontos de entrada, engenharia social, workflows de risco

Como um evil user quero adquirir um produto sem pagar.

25

Como modelar requisitos e cenários?

Realizar processo de negócio sem as RNsExplorar interações maliciosas entre um ator e o sistema.

Abuse Stories

26

Testar o quê?

Web app Top Ten – 2013

http://pt.slideshare.net/bilcorry/bil-owasp-top-102013-presentation

Web: Testar o quê?

28

Mobile: Testar o quê?

Mobile app Top Ten – 2014

https://www.arxan.com/what-we-do/industry-and-analyst-perspectives/

29

Testar o quê?

-Interações de risco entre as partes: webservices, canal inseguro;-Critérios de aceitação: críticos x incidentais;-Privacidade utilizável: personalização, impersonificação, privilégios e workflow desnecessários ou inseguros, interfaces complexas, etc. -Vulnerabilidades permitidas pela UI e seus parâmetros: XSS, phishing, SQL Injection, etc

30

Testar o quê?

-Explorar potencialidades e fraquezas do usuário-Vulnerabilidades que possibilitam afetar a UI: XSS, phishing-Autenticação e autorização: ser quem é, e só fazer o que esse "ser" é.O que deixa indisponível: DOS, consultas complexas time based, etc

31

Testar como?

Como o Teste é

realizado?

Como o Tester participa?

Scanner automatizado de vulnerabilidades

Análise automatizada

de código

Teste Manual de invasão ( Pen Test )

Revisão manual de código

Falsos Positivos, Falsos Negativos, Camadas indetectáveis.

RISCOS

Scanner: A solução de tudo?

Teste de segurança em app mobilePentest: Pra quê?

Como encontrar equilíbrio?Valor x Produtividade

E a eficácia para o

cliente e time?

36

VarreduraQuão rápido e

amplamente posso analisar a superfície?

Exploratório ( Pentest )-Que tipos de ataques são relevantes? -Qual a parte mais importante a ser protegida: mais impacto, maior risco ao negócio?

Como encontrar equilíbrio?

Teste continuo+Sprint pequeno +Restropectivas+ muito feedback+

envolva o timetime

37

Explorar pentest + varredura = done

Como encontrar equilíbrio?Valor x Produtividade

Adeque à sua realidade...

Teste continuo+Tamanho do Sprint +

Uso de restropectivas+ feedback

38

Explorar pentest + varredura = done

Como encontrar equilíbrio?... E para metodologias Mistas?

Report: Análise de resultado, prazo, valor

Time to marketUsabilidade,

Disponibilidadee Desempenho

Resultados dos Testes

Implicações de Regras de Negócio, outros

APP MOBILERISCOS

CRITICIDADE, IMPACTO, PROBABILIDADE IMPLICAÇÕES

RECOMENDAÇÕES

40

Entregar o quê?

Imagem: http://www.123rf.com/photo_25072963_business-hand-writing-product-and-service-evaluation-on-quality-delivery-and-service.html

41

Reportbalanço entre

segurança e user-centered = Valor

42

Report- Reporte diário com o time e envolvidos várias vezes ao dia (ou no tempo possível);- Pergunte a opinião dos envolvidos sobre os resultados;- Em pontos de decisão crítica interroge os decisores-chave;- Se prepare para responder perguntas difíceis e multidimensionais;- Seja breve e objetivo: se só tivesse 1 minuto que pergunta faria.

43

ReportDescreva e gere evidências: narrativas, vídeos, screnshots, etc.

Meça o termômetro de aceitação ( satisfação) do cliente: -Há algo que eu possa melhorar no seu relatório? -Há alguma sugestão a que o relatório possa ser mais útil e agradável de ler?

44

ReportDescreva as vulnerabilidades encontradas e riscos identificados.

45

Report - Recomendações

-Mecanismos para espantar bad boys;-Mecanismos discretos para manter goodboys;- Solução produtiva para o time de desenvolvimento;-Análise de falso positivos e negativos que possam influenciar na UX;-Indicar pontos seguros da app que podem melhorar a UX;

46

-Efeitos da Acessibilidade e disponibilidade de informações x politica de privacidade-Integrar segurança às tarefas do usuário-Transparência da segurança dentro da tarefa-Dependência de autoridade confiável-Identificação de workflow inseguro-Uso de mensagens apropriadas: alerta, informação, desinformação

Report - Recomendações ( cont.)

47

POSSO COLABORAR COM MAIS RESPOSTAS?

kleitor.franklint@gmail.com

br.linkedin.com/in/kfranklint

92-99416-0873